Уже более трех десятилетий Adam Smith Conferences организует деловые мероприятия, которые собирают вместе сотни лидеров бизнеса и государственных органов. CIO&CISO Eurasia 2024, который прошел 24 мая в Алматы, продолжает традицию содействия обмену знаниями и опытом между профессионалами из ключевых секторов экономики стран Центральной Азии. На мероприятие пришло более 250 регистраций. Среди участников - представители Казахстана, России, Узбекистана, Киргизии, Таджикистана и Азейбайждана.
В эпоху стремительных цифровых изменений каждая организация, так или иначе сталкивается с вызовами в виде новых цифровых рисков и кибератак. Поэтому тема информационной безопасности так важна для обсуждения и поиска эффективных стратегий и решений.
Мероприятие стартовало с пленарной сессии, эксперты которой обсудили текущее и целевое состояние информационной безопасности в регионе. Направлял беседу Олег Прокудин, старший менеджер, услуги в области информационной безопасности и информационных технологий, PwC Kazakhstan.
По данным экспертов, 36% опрошенных в рамках исследования Global Digital Trust Insights 2024 столкнулись с утечкой данных, стоимость которой составила $1 млн и более, по сравнению с 27% в 2023 году.
В числе трендов на текущее время были названы модернизация и оптимизация, которые возглавят список инвестиций в киберпространство на 2024 год. Кроме того, оптимизация существующих технологий и инвестиций, постоянное улучшение ситуации с рисками на основе дорожной карты кибербезопасности и постоянное обучение побезопасности.
По данным экспертов, 36% опрошенных в рамках исследования Global Digital Trust Insights 2024 столкнулись с утечкой данных, стоимость которой составила $1 млн и более, по сравнению с 27% в 2023 году.
В числе трендов на текущее время были названы модернизация и оптимизация, которые возглавят список инвестиций в киберпространство на 2024 год. Кроме того, оптимизация существующих технологий и инвестиций, постоянное улучшение ситуации с рисками на основе дорожной карты кибербезопасности и постоянное обучение побезопасности.
В рамках сессии свои рекомендации высказали Александр Пушкин, глава Security Operation Center (ОЦИБ), PS Cloud Services, Асем Болатжан, управляющий директор, АО Казпочта, Шавкат Сабиров, президент Интернет ассоциации Казахстана, Олжас Сатиев, основатель, Центр анализа и расследования кибер атак (ЦАРКА) и Медет Турин, эксперт по кибербезопасности, MSSP.GLOBAL.
Среди рекомендаций экспертов: использование более сложных подходов к моделированию киберрисков и включение кибербезопасности в повестку СД.
Тему безопасности в цифровой эпохе раскрыл в своем выступлении независимый эксперт из Узбекистана Нуржау Болатбек. Спикер обозначил основную проблематику - это недостаточное развитие отечественных технологий и зависимость от импортных решений.
Вопрос AI, которые сейчас у всех на на слуху, поднял в своей презентации Всеволод Шабад, Technology Security and Risk Director, ProCISO (Нидерланды)
Страхи, связанные с тем, что ИИ отберет работу у некоторых категорий специалистов, опасения за персональные данные и их использование и другие страшные истории, которыми пугают друг друга люди. Эксперт сформулировал собственную точку зрения, чего же на самом деле стоит опасаться и как использовать AI, чтобы поднять эффективность бизнеса и не растерять клиентов и сотрудников. Со сцены прозвучали конкретные рекомендации и конкретные примеры.
Среди рекомендаций экспертов: использование более сложных подходов к моделированию киберрисков и включение кибербезопасности в повестку СД.
Тему безопасности в цифровой эпохе раскрыл в своем выступлении независимый эксперт из Узбекистана Нуржау Болатбек. Спикер обозначил основную проблематику - это недостаточное развитие отечественных технологий и зависимость от импортных решений.
Вопрос AI, которые сейчас у всех на на слуху, поднял в своей презентации Всеволод Шабад, Technology Security and Risk Director, ProCISO (Нидерланды)
Страхи, связанные с тем, что ИИ отберет работу у некоторых категорий специалистов, опасения за персональные данные и их использование и другие страшные истории, которыми пугают друг друга люди. Эксперт сформулировал собственную точку зрения, чего же на самом деле стоит опасаться и как использовать AI, чтобы поднять эффективность бизнеса и не растерять клиентов и сотрудников. Со сцены прозвучали конкретные рекомендации и конкретные примеры.
Затем микрофон спикера перешел к Сейтеку Курманову, CISO Банка Азии (Кыргызстан). Эксперт поделился своим опытом внедрения CIS Controls. Обсудили продукты для инвентаризации и контроля активов компании, Data Protection, Secure Configuration of Enterprise Assets, аспекты управления учетными записями и контроль доступа, управление уязвимостями и другие ключевые вопросы.
Павел Шубин, начальник сектора информационной безопасности, Kcell, собрал для участников мероприятия джентельменский чемоданчик инфобезопасника. А также озвучил руководство к действию на случай, если бюджет отсутствует, а безопасность нужно обеспечить уже сегодня. Среди рекомендаций: понятная политика и процедуры, вовлечение в процессы подразделения HR, обучение по инфобезу, тренинги на тему кибергигиены и социальной инженерии, внутренний аудит.
Плюсы использования SIEM-системы как одного из основных элементов ИБ организации описал Иван Кандалов, менеджер по работе с ключевыми заказчиками KAZSIEM. В числе задач, которые решает SIEM - оперативное обнаружение, реагирование и контроль обработки инцидентов, создание единого центра мониторинга, оперативный контроль состояния инфраструктуры компании и определение прав, обязанностей и разграничение зон ответственности персонала компании для ИТ- и ИБ-служб.
Вопросы о том, как же выстраивать ИБ систему в условиях ESG-эры, затронула в своем выступлении Асель Учоклар, Business Development manager Infosec Data Matrix Corp. Она представитла платформу управления рисками, активами и комплайнсом ZEUS GRC, которая позволяет компаниям уверенно и эффективно преодолевать эти сложности, связанные с кибербезом в современных реалиях. Опираясь на опыт таких мировых брендов как Netflix, Deloitte и Fiserv, которые используют GRC-систему в своей работе, спикер рассказала о возможностях продукта для специалистов. Например, Netflix использовали этот инструмент для того чтобы их ресурсы AWS соответствовали требованиям безопасности после нескольких инцидентов. По результатам внедрения систему у Deloitte, компания отметила улучшение процессов управления проектами на 40% и снижение операционных рисков на 25%. А Fiserv, глобальный поставщик технологий финансовых услуг, смог оптимизировать процессы управления рисками, обеспечить соответствие различным регуляторным требованиям и улучшить общую операционную эффективность (Metricstream).
Эксперты высказали мнение, что в 2024 году стремительное развитие искусственного интеллекта, в том числе генеративных систем, приведет к повышению сложности кибератак, а мошенники все чаще будут использовать нейронные сети для создания убедительного контента. В числе макротрендов и основных угроз устойчивости бизнеса, приведенных в презентации Жанары Аманжоловой, директора центра цифровых компетенций Mindrevolve, были названы угрозы и средства защиты с применением ИИ, атаки на цепочки поставок, программы-вымогатели, приоритет облачной безопасности, эксплойты нулевого дня, контроль со стороны регулирующих органов и геополитическая напряженность. Эксперт поделилась статистикой по методам атак на нефтяной сектор, реализованными кейсами и последствиями, с которыми столкнулись компании.
Послеобеденную деловую программу открыл Даниил Беляков, директор по развитию TOO Multifactor Kazakhstan темой обеспечения безопасного доступа к ИТ-ресурсам организации с помощью 2FA. Эксперт привел данные исследований, из которых видно, что в прошлом году в Казахстане было зафиксировано 223 млн кибератак зарубежных хакеров. Число утечек информации выросло на 3,5 % во всем мире. Что касается корпоративного сектора - рост количества фишинговых атак составил там +120%. В результате компании сталкиваются с прямым и косвенным финансовым ущербом, ущербом репутации и потерей клиентов, кражей интеллектуальной собственности и коммерческой тайны и санкциями от регуляторов за несоблюдение нормативных требований. Спикер представил возможное решение - через инструменты МFA.
В стране более 40 ОЦИБ, но как оценить, какие из них эффективны, а какие — нет? Какой линейкой измерять? Мы в PS Cloud Services строим лучший SOC, но что это значит? Существует ли идеальный SOC? Эти вопросы раскрыл в своем выступлении Александр Пушкин, глава Security Operation Center (ОЦИБ), PS Cloud Services. Спикер перечислил ключевые и экспертные сервисы SOC и рассказал о собственном опыте их использования. Также обозначил различные подходы в стратегии, тактике и инструментах, которые применяют западные и восточные страны.
Анализ реальный инцедентов за 2023 год провел Борис Кочерыжкин, CISO, VEON (Кыргызстан). По словам спикера, кибербезопасность – больше не роскошь, а требование современных реалий. Эксперт поделился статистикой по тенденциям кибер-атак в Beeline KG, поделился анализом крупных инцедентов из прошлого и привел свежие кейсы с участием инструмента Реакция SkySOC - первого коммерческого центра информационной безопасности в Кыргызстане.
Вопросы эффективного взаимодействия ИТ и ИБ функций, роль CISO в общей и цифровой стратегии компании, подходы к обоснованию и окупаемости вложений в информационную безопасность в условиях ограниченности ресурсов на уровне борда, инструменты защиты ключевых бизнес-процессов и способность влиять на них со стороны безопасности - все это в своем делегаты обсудили с экспертом Давидом Мамедовым, начальником управления ИБ в KAZ Minerals. Говорили о СУИБ как о части общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности. А также смеялись над жизненными мемами из жизни CISO.
Ближе к вечеру участников расшевелила тема геймификации повышения осведомленности в разработке. Ролевые модели, “плохие парни”, борьба добра со злом”, а также - повышение эффективности классического Security Awareness, возможность для участников понять, как действуют атакующие, полноценно примерить на себя роль «плохих ребят», научиться обнаруживать и эксплуатировать уязвимости, а также по-новому взглянуть на свою работу. Все это дает внутренний CTF. Раскрыл тему Александр Двоянов, Information Security Officer, DatsTeam.
А вот Ержан Ерболатуры, руководитель отдела по кибербезопасности, Air Astana, поделился небольшим списком книг, который он рекомендует коллегам для прокачки Soft Skills. А все потому, что важности наличия этих скиллов для CISO было посвящено его выступление. По мнению эксперта, к 2030 году Soft skills навыки будут занимать 2/3 от всех новых вакансий. А злободневность и важность этой проблемы ярко передали представленные спикером кейсы из практики авиакомпаний. В числе главных soft скиллов в своей работе Ержан назвал навык коммуникацировать, эмоциональный интеллект, ненасильственное общение, стрессоустойчивость, целеустремленность.
Павел Шубин, начальник сектора информационной безопасности, Kcell, собрал для участников мероприятия джентельменский чемоданчик инфобезопасника. А также озвучил руководство к действию на случай, если бюджет отсутствует, а безопасность нужно обеспечить уже сегодня. Среди рекомендаций: понятная политика и процедуры, вовлечение в процессы подразделения HR, обучение по инфобезу, тренинги на тему кибергигиены и социальной инженерии, внутренний аудит.
Плюсы использования SIEM-системы как одного из основных элементов ИБ организации описал Иван Кандалов, менеджер по работе с ключевыми заказчиками KAZSIEM. В числе задач, которые решает SIEM - оперативное обнаружение, реагирование и контроль обработки инцидентов, создание единого центра мониторинга, оперативный контроль состояния инфраструктуры компании и определение прав, обязанностей и разграничение зон ответственности персонала компании для ИТ- и ИБ-служб.
Вопросы о том, как же выстраивать ИБ систему в условиях ESG-эры, затронула в своем выступлении Асель Учоклар, Business Development manager Infosec Data Matrix Corp. Она представитла платформу управления рисками, активами и комплайнсом ZEUS GRC, которая позволяет компаниям уверенно и эффективно преодолевать эти сложности, связанные с кибербезом в современных реалиях. Опираясь на опыт таких мировых брендов как Netflix, Deloitte и Fiserv, которые используют GRC-систему в своей работе, спикер рассказала о возможностях продукта для специалистов. Например, Netflix использовали этот инструмент для того чтобы их ресурсы AWS соответствовали требованиям безопасности после нескольких инцидентов. По результатам внедрения систему у Deloitte, компания отметила улучшение процессов управления проектами на 40% и снижение операционных рисков на 25%. А Fiserv, глобальный поставщик технологий финансовых услуг, смог оптимизировать процессы управления рисками, обеспечить соответствие различным регуляторным требованиям и улучшить общую операционную эффективность (Metricstream).
Эксперты высказали мнение, что в 2024 году стремительное развитие искусственного интеллекта, в том числе генеративных систем, приведет к повышению сложности кибератак, а мошенники все чаще будут использовать нейронные сети для создания убедительного контента. В числе макротрендов и основных угроз устойчивости бизнеса, приведенных в презентации Жанары Аманжоловой, директора центра цифровых компетенций Mindrevolve, были названы угрозы и средства защиты с применением ИИ, атаки на цепочки поставок, программы-вымогатели, приоритет облачной безопасности, эксплойты нулевого дня, контроль со стороны регулирующих органов и геополитическая напряженность. Эксперт поделилась статистикой по методам атак на нефтяной сектор, реализованными кейсами и последствиями, с которыми столкнулись компании.
Послеобеденную деловую программу открыл Даниил Беляков, директор по развитию TOO Multifactor Kazakhstan темой обеспечения безопасного доступа к ИТ-ресурсам организации с помощью 2FA. Эксперт привел данные исследований, из которых видно, что в прошлом году в Казахстане было зафиксировано 223 млн кибератак зарубежных хакеров. Число утечек информации выросло на 3,5 % во всем мире. Что касается корпоративного сектора - рост количества фишинговых атак составил там +120%. В результате компании сталкиваются с прямым и косвенным финансовым ущербом, ущербом репутации и потерей клиентов, кражей интеллектуальной собственности и коммерческой тайны и санкциями от регуляторов за несоблюдение нормативных требований. Спикер представил возможное решение - через инструменты МFA.
В стране более 40 ОЦИБ, но как оценить, какие из них эффективны, а какие — нет? Какой линейкой измерять? Мы в PS Cloud Services строим лучший SOC, но что это значит? Существует ли идеальный SOC? Эти вопросы раскрыл в своем выступлении Александр Пушкин, глава Security Operation Center (ОЦИБ), PS Cloud Services. Спикер перечислил ключевые и экспертные сервисы SOC и рассказал о собственном опыте их использования. Также обозначил различные подходы в стратегии, тактике и инструментах, которые применяют западные и восточные страны.
Анализ реальный инцедентов за 2023 год провел Борис Кочерыжкин, CISO, VEON (Кыргызстан). По словам спикера, кибербезопасность – больше не роскошь, а требование современных реалий. Эксперт поделился статистикой по тенденциям кибер-атак в Beeline KG, поделился анализом крупных инцедентов из прошлого и привел свежие кейсы с участием инструмента Реакция SkySOC - первого коммерческого центра информационной безопасности в Кыргызстане.
Вопросы эффективного взаимодействия ИТ и ИБ функций, роль CISO в общей и цифровой стратегии компании, подходы к обоснованию и окупаемости вложений в информационную безопасность в условиях ограниченности ресурсов на уровне борда, инструменты защиты ключевых бизнес-процессов и способность влиять на них со стороны безопасности - все это в своем делегаты обсудили с экспертом Давидом Мамедовым, начальником управления ИБ в KAZ Minerals. Говорили о СУИБ как о части общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности. А также смеялись над жизненными мемами из жизни CISO.
Ближе к вечеру участников расшевелила тема геймификации повышения осведомленности в разработке. Ролевые модели, “плохие парни”, борьба добра со злом”, а также - повышение эффективности классического Security Awareness, возможность для участников понять, как действуют атакующие, полноценно примерить на себя роль «плохих ребят», научиться обнаруживать и эксплуатировать уязвимости, а также по-новому взглянуть на свою работу. Все это дает внутренний CTF. Раскрыл тему Александр Двоянов, Information Security Officer, DatsTeam.
А вот Ержан Ерболатуры, руководитель отдела по кибербезопасности, Air Astana, поделился небольшим списком книг, который он рекомендует коллегам для прокачки Soft Skills. А все потому, что важности наличия этих скиллов для CISO было посвящено его выступление. По мнению эксперта, к 2030 году Soft skills навыки будут занимать 2/3 от всех новых вакансий. А злободневность и важность этой проблемы ярко передали представленные спикером кейсы из практики авиакомпаний. В числе главных soft скиллов в своей работе Ержан назвал навык коммуникацировать, эмоциональный интеллект, ненасильственное общение, стрессоустойчивость, целеустремленность.
Завершающий аккорд мероприятия поставила своим выступлением независимый эксперт Оксана Пиргалина. По результатам исследований - 88% CISO испытывают постоянный стресс (2020 г.), а 95% CISO перегружены работой (2022 г.). По разным данным, от 28 до 50 % CISO хотят сменить работу. (2023 г.).
Поговорили об эмоциональном выгорании, борьбе со стрессом, о том, как работает психика в напряженных ситуациях и как сделать все, чтобы оставаться эффективным, продуктивным, и при этом счастливым и здоровым сотрудником.
Вооружившись новыми знаниями, опытом коллег и ведущих экспертов СНГ, зарядившись положительными эмоциями, участники разлетелись по своим делам, чтобы и дальше выявлять онлайн угрозы и отражать кибератаки.
От лица организатора Adam Smith Conferences мы благодарим всех спикеров, участников, экспертов и делегатов, а так же партнеров, которые поддерживают наши проекты. Выражаем особую благодарность компаниям Datamatrix, Multifactor и KazSIEM.
До встречи на новых проектах!
Поговорили об эмоциональном выгорании, борьбе со стрессом, о том, как работает психика в напряженных ситуациях и как сделать все, чтобы оставаться эффективным, продуктивным, и при этом счастливым и здоровым сотрудником.
Вооружившись новыми знаниями, опытом коллег и ведущих экспертов СНГ, зарядившись положительными эмоциями, участники разлетелись по своим делам, чтобы и дальше выявлять онлайн угрозы и отражать кибератаки.
От лица организатора Adam Smith Conferences мы благодарим всех спикеров, участников, экспертов и делегатов, а так же партнеров, которые поддерживают наши проекты. Выражаем особую благодарность компаниям Datamatrix, Multifactor и KazSIEM.
До встречи на новых проектах!